5.4.2.6. 确保用于 NFS 的 NAS 设备在强化的环境中运行

Block Storage 服务(cinder)支持 NFS 驱动程序，它的工作方式与传统的块存储驱动程序不同。

NFS 驱动程序实际上不允许实例访问块级别的存储设备。相反，在 NFS 共享上创建文件并映射到实例，这样可模拟块设备。

块存储服务通过控制创建 cinder 卷时的文件权限来支持此类文件的安全配置。Cinder 配置也可以控制文件操作是否以 root 用户身份运行，还是以当前 Red Hat OpenStack Platform 进程用户身份运行。

注意

有几个 director heat 参数控制 NFS 后端还是 NetApp NFS Block Storage 后端是否支持一个名为 NAS 的 NetApp 功能：

红帽不推荐启用此功能，因为它不会影响正常卷操作。director 会默认禁用这个功能，Red Hat OpenStack Platform 不支持它。

注意

使用特定供应商驱动程序集成的 NAS 设备应被视为敏感且应在强化隔离的环境中部署。这些设备的任何破坏都可能导致访问或修改实例数据。

检查 cinder.conf 文件的 [DEFAULT] 部分中的 nas_secure_file_permissions 的值是否已设置为 auto。
当 nas_secure_file_permissions 参数设置为 auto 时，块存储服务会检测到是否存在现有的 cinder 卷：
- 如果没有现有卷，cinder 将选项设置为 True，并使用安全文件权限。
- 如果 cinder 检测到现有卷，cinder 将选项设置为 False，并使用不安全的处理文件权限方法。
检查 cinder.conf 文件中的 [DEFAULT] 部分中的 nas_secure_file_operations 参数是否已设置为 auto。
当 nas_secure_file_operations 参数设置为 auto 时，块存储服务会检测到是否存在现有的 cinder 卷：
- 如果没有现有卷，cinder 将选项设置为 True，且不会以 root 用户身份运行。
- 如果 cinder 检测到现有卷，cinder 将选项设置为 False，并使用当前以 root 用户身份运行操作的方法。

注意

对于新安装，块存储服务会创建一个标志文件，以便在后续重启块存储服务时记住原始的决定。

返回顶部